隨著智慧型手錶廣為流行,數位鑑識的重點標的物也隨之擴展到智慧型手錶的領域,本文將探討智慧型手錶與智慧型手機在進行藍牙連線配對時,在智慧型手機端會遺留下哪些有關手錶的訊息,並透過ADB指令來萃取手機映像檔並搭配鑑識軟體Encase進行數位鑑識分析。
除此之外,現今Android裝置和應用程式儲存空間的加密越來越普遍,非揮發性記憶體所儲存的資料經常被加密,增加了鑑識的困難度。
相對於非揮發性記憶體儲存永久性資料,揮發性記憶體(Volatile Memory)的目的是為了提高存取速度,揮發性記憶體的資料通常會立即被存取,並不會進行加密,因此分析揮發性記憶體越來越重要,也是取得跡證的另一個重要管道。
揮發性記憶體無法保存資料,因此鑑識人員在進行犯罪現場的物證保存時,必須非常注意現場行動裝置不能被關機,一旦關機,正在執行的資料皆會消失,造成重要證據損失的後果。
此外,揮發性記憶體會隨時間不斷地變動,因此時間也是很大的影響因素,關乎到鑑識人員是否可以成功萃取出重要資訊。本文利用Memory Dump記憶體分析工具,對Root手機進行揮發性記憶體萃取。
實例情境分析探討
A君與B君因沉迷賭博欠了一屁股的債,走投無路的兩人決定大幹一筆,計畫搶劫台北忠孝復興路上的銀樓,兩人乘著黑色轎車在距離銀樓前100公尺處停靠,A君下車徒步前往銀樓,B君則下車替A君把風觀望,兩人利用智慧型手錶進行聯繫,一有狀況發生,B君會透過手機傳送訊息給A君,讓A君方便透過手錶得知訊息,做好撤退的準備。
A君在搜刮珠寶時,銀樓老闆趁著A君不注意,按下警報器,A君聽到警報聲後一時心慌亂了手腳,遭循聲前來幫忙的民眾壓制,過程中A君奮力抵抗,手上的智慧手錶不慎撞毀,僅扣押到A君背包中的手機,B君眼看A君失風被逮,便默默地駛離。
事後,調查人員調閱監視器,發現A君與B君共乘同一輛車並在銀樓附近停靠,強烈懷疑B君為共犯,約談B君前來了解案情。狡猾的B君,一聽到調查人員要查看手機的通聯紀錄,馬上將手中的智慧型手機摔毀,並矢口否認涉及銀樓搶案。
調查人員將扣押A君的智慧手機,交由數位鑑識人員進行鑑識,因現今智慧手錶是利用藍牙連線,會將智慧型手機接收到的通知訊息推播到手錶上,鑑識人員對手機端進行鑑識,尋找A君與B君之間犯罪的關聯證據。
本案例之調查方向,從日誌紀錄檔分析、分割區實體萃取分析、揮發性記憶體分析等三方面分別著手。
日誌紀錄檔分析
手機的日誌紀錄檔是存放在環形緩衝區,在主要緩衝區與事件緩衝區內記錄了手機藍牙連線的歷史資料,分別針對感興趣的兩個緩衝區進行日誌檔分析。
如圖10所示,在events日誌紀錄檔中,發現手機和手錶開始進行藍牙連線的開始時間「04-13 20:32:44.292」(4月13日20時32分)以及結束時間「04-13 20:58:04.230」(4月13日20時58分)。從開始時間與結束時間,鑑識人員可以確認A君使用智慧型手錶的時間點與犯罪的時間點吻合。
|
▲圖10 手機和手錶進行藍牙連線的開始時間。 |
分割區實體萃取分析
然後使用Encase鑑識軟體來分析從手機萃取出來的映像檔,可以檢視原先被檔案系統隱藏起來的data資料夾內容,如圖11所示。
|
▲圖11 查看data資料夾內容。 |
從中可以發現btopp.db資料庫檔案內記錄下藍牙的歷史連線紀錄,得到的資訊包括id、data、mimetype、direction destination、status total_bytes、current_bytes、timestamp等。此外,鑑識人員從藍牙連線資料庫中,了解到A君使用藍牙的狀況、時間點,以及進行哪些檔案資料的傳輸。
鑑識人員發現bnr deviceinfo.xml檔案記錄手機連線的手錶型號(SM-R732)和編號(Gear S2 5E32),與現場遭毀壞的A君智慧手錶吻合,如圖12所示。
|
▲圖12 核對手錶的型號及編號。 |
除此之外,同路徑下的connectedDevicesByType.xml檔案記載手機連線的手錶型號(SM-R732)與藍牙位址(F4:0E:22:BB:5E:32),如圖13所示。
|
▲圖13 比對出手錶型號與藍牙位址。 |
在PREF NAME DEVICE FEATURE.xml檔案發現手錶的Wi-Fi MAC位址,而RemoteAddressPreferences.xml檔案內找到手錶的Wi-Fi IP位址(192.168.49.147),如圖14所示。
|
▲圖14 查出Wi-Fi IP位址。 |
然後,由scsprefWMC.xml檔案發現了手錶的login_id和userId(b2r70iwqtq),如圖15所示。
|
▲圖15 使用者登入手錶的帳號及ID。 |